Bevor wir anfangen: Ich bin kein Rechtsanwalt, und dieser Artikel ist keine Rechtsberatung. Wer konkrete Compliance-Fragen hat, sollte einen Spezialisten hinzuziehen. Was ich hier tue, ist die technische und praktische Seite einzuordnen — was der AI Act für Unternehmen bedeutet, die KI-Automatisierung einsetzen oder planen.
Was der EU AI Act überhaupt ist
Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise wirksam. Er reguliert KI-Systeme nach dem Risiko, das sie für Menschen darstellen. Das Grundprinzip: Je höher das Risiko, desto strenger die Anforderungen. Verboten ist, was Menschen manipuliert, diskriminiert oder unkontrolliert bewertet.
Für einen Mittelständler in Deutschland, der KI zur Prozessautomatisierung einsetzt — also Rechnungen verarbeitet, E-Mails sortiert, Berichte erstellt — klingt das erstmal weit weg. Und das stimmt größtenteils auch.
Wer KI ausschließlich für interne Prozessautomatisierung nutzt (Buchhaltung, Dokumentenverarbeitung, Berichtswesen, Kundenanfragen-Routing), operiert in der Regel in der Niedrigrisikozone — mit minimalen Pflichten. Kritisch wird es erst, wenn KI Entscheidungen über Menschen trifft oder im öffentlichen Bereich eingesetzt wird.
Das Risikomodell: Wo stehen Sie?
Der AI Act teilt KI-Systeme in vier Risikoklassen ein. Hier die ehrliche Einordnung für typische Mittelstands-Anwendungen:
| Risikoklasse | Typische Anwendungen | Relevanz für KMU |
|---|---|---|
| Verboten | Soziale Bewertungssysteme, biometrische Massenüberwachung, Manipulation durch Suboxische Reize | Kein normaler Mittelständler kommt hier hin |
| Hochrisiko | KI zur Mitarbeiterbeurteilung oder -einstellung, Kreditentscheidungen, medizinische Diagnose, kritische Infrastruktur | Relevant wenn HR-KI oder Kreditscoring eingesetzt wird |
| Begrenztes Risiko | Chatbots und virtuelle Assistenten, KI-generierte Inhalte | Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren |
| Minimales Risiko | Spam-Filter, Dokumentenverarbeitung, Berichtsgenerierung, Prozessautomatisierung | Keine spezifischen Pflichten — der Bereich für die meisten KMU |
Wo es für Mittelständler konkret wird
1. KI-gestützte Personalentscheidungen
Wer KI zur Vorauswahl von Bewerbungen, zur Beurteilung von Mitarbeitern oder zur Planung von Schichten einsetzt, bewegt sich in der Hochrisikozone. Das bedeutet: Dokumentationspflichten, menschliche Aufsicht, Risikoabschätzung vor dem Einsatz. Das ist nicht unmöglich, aber aufwändig — und wer das ohne Vorbereitung tut, riskiert Bußgelder.
2. Chatbots mit Kundenkontakt
Wer einen KI-Chatbot einsetzt, der mit Kunden kommuniziert, muss die Kunden darüber informieren, dass sie mit einer KI interagieren. Das ist die Transparenzpflicht im Bereich "begrenztes Risiko". In der Praxis heißt das: Ein klarer Hinweis im Interface, dass es sich um einen automatisierten Assistenten handelt. Kein großes Hindernis — aber wer das verschweigt, handelt rechtswidrig.
3. Einkauf von KI-Tools
Hier liegt der unterschätzte Punkt: Auch als Anwender von KI-Systemen trägt ein Unternehmen Verantwortung. Wer ein Hochrisiko-KI-System einsetzt — also etwa ein KI-Recruiting-Tool kauft und nutzt — muss sicherstellen, dass der Anbieter die Anforderungen des AI Acts erfüllt. Das bedeutet: Bei der Auswahl von KI-Software künftig auch nach Compliance-Dokumentation fragen.
Machen Sie eine kurze Bestandsaufnahme: Welche KI-Systeme setzen Sie ein, und wofür? Treffen diese Systeme Entscheidungen über Menschen (Bewerber, Mitarbeiter, Kreditnehmer)? Wenn ja, prüfen Sie die Anforderungen der Hochrisikoklasse. Wenn nein, reicht für die meisten Fälle eine einfache Dokumentation und die Transparenzpflicht beim Kundenkontakt.
Was das für KI-Automatisierungsprojekte bedeutet
Ehrlich gesagt: Für die meisten Automatisierungsprojekte im Mittelstand ändert der AI Act wenig. Ein Workflow, der eingehende Rechnungen verarbeitet, Bestellungen weiterleitet oder wöchentliche Reports erstellt, fällt unter minimales Risiko. Keine neuen Pflichten, keine Registrierung, kein Audit.
Was sich ändert ist die Dokumentationsmentalität. Wer KI-Systeme einsetzt, sollte wissen, welche Daten sie verarbeiten, welche Entscheidungen sie treffen und wie man im Zweifel eingreifen kann. Das ist weniger eine gesetzliche Pflicht für Niedrigrisikoklassen als eine vernünftige Grundhaltung — und hilft im Fall einer DSGVO-Anfrage oder eines internen Audits.
Was ich meinen Kunden empfehle: Eine einfache "KI-Inventarliste" — welche Systeme laufen, was sie tun, wer verantwortlich ist. Kein komplexes Dokument, aber ein Zeichen, dass man den Überblick behält. Das dauert einen Nachmittag und deckt 90 Prozent der realistischen Anforderungen ab.
Die Durchsetzung des AI Acts läuft schrittweise: Verbote galten ab Februar 2025, Hochrisiko-Pflichten greifen ab August 2026. Die Aufsichtsbehörden in Deutschland befinden sich noch im Aufbau. Das bedeutet: Jetzt ist der richtige Zeitpunkt, sich zu informieren und vorzubereiten — nicht in Panik zu verfallen, aber auch nicht zu warten.
Automatisierung rechtskonform aufsetzen
Im Erstgespräch schauen wir uns Ihre geplanten KI-Projekte an — und sorgen dafür, dass sie von Anfang an compliant sind.